走在前沿
VMware 提供培训和认证,助您快速提升技能。
了解更多Spring 安全公告
CVE-2020-5427:Spring Cloud Data Flow 任务执行排序查询中存在SQL注入漏洞
描述
在 Spring Cloud Data Flow 2.6.x 版本(低于 2.6.5)和 2.5.x 版本(低于 2.5.4)中,当请求任务执行时,应用程序容易受到 SQL 注入攻击。
受影响的 Spring 产品和版本
- Spring Cloud Data Flow
- 2.6.x
- 2.5.x
缓解措施
用户应升级到 2.5.4 或更高版本。已修复此问题的版本包括:
- Spring Cloud Data Flow
- 2.7.0
- 2.6.5
- 2.5.4
鸣谢
此问题由 CHECK24 Factory GmbH 的 Sufijen Bani 发现并负责任地报告。
参考
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5427
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.7.0
- https://github.com/spring-cloud/spring-cloud-dataflow/releases/tag/v2.6.4
历史
- 2020-12-01:2.7.0 版本发布,包含修复
- 2020-11-24:2.6.x 版本线的修复版本发布
- 2020-10-30:首次发现漏洞。
报告漏洞
要报告 Spring 产品组合中项目的安全漏洞,请参阅安全策略